WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện mã độc thu thập dữ liệu âm thanh ở Ukraine
Mã độc mới này, được các nhà nghiên cứu tại CyberX gọi là Operation BugDrop, được thiết kế để nằm vùng trên các máy tính trong một tổ chức và ghi lại tất cả mọi thứ nghe qua microphone được tích hợp hoặc gắn vào một máy tính.
Mỗi ngày mã độc BugDrop sẽ gửi các tập tin âm thanh vào một tập tin Dropbox, vốn sẽ được tải lên cho tin tặc phân tích thêm. Một khi mã độc BugDrop lây nhiễm một tổ chức, nó sẽ biến mọi máy tính thành một lỗ hổng. Mọi nỗ lực quét văn phòng tìm kiếm lỗi đều sẽ thất bại vì lỗi chính là các máy tính, không ẩn nấp ở bất cứ đâu trong văn phòng.
Mã độc này cũng có các biện pháp khác để tránh bị phát hiện. Vì chỉ lấy dữ liệu âm thanh, mã độc tránh bị phát hiện vì trông giống như lưu lượng hợp pháp. Mã độc mã hóa các file DLL mà nó cài đặt như là một cách để tránh bị phát hiện bởi các phần mềm diệt virus.
Mã độc được cài đặt bằng cách sử dụng một cuộc tấn công lừa đảo, tiếp theo đó là giả mạo những thông báo Microsoft Office hợp pháp để đảm bảo rằng người sử dụng máy tính kích hoạt macro nhằm tạo điều kiện cài đặt mã độc.
Tiếp theo mã độc sẽ cài đặt một downloader chính để tránh bị phát hiện bởi các phần mềm AV. Sau đó, nó sẽ cài đặt một khóa vào registry của máy tính. Khóa registry đảm bảo rằng phần mềm sẽ chạy khi máy tính được khởi động lại. Mã độc tự cài đặt sử dụng lây nhiễm DLL, một kỹ thuật tải mã độc là một phần của quá trình tải phần mềm hợp pháp, mà lại giấu mã độc khỏi các phần mềm chống mã độc.
BugDrop cũng tránh bị phát hiện bằng cách sử dụng dịch vụ đám mây công cộng Dropbox để nhận dữ liệu giám sát. Điều này hoạt động vì nhiều tổ chức coi lưu lượng Dropbox là hoạt động bình thường và không chặn lưu lượng đó.
Trong khi mã độc BugDrop chủ yếu thu thập các cuộc hội thoại audio, nó cũng có thể tìm kiếm và đánh cắp một loạt các loại tài liệu cũng như lấy cắp mật khẩu và các thông tin khác từ các trình duyệt. Các hoạt động cụ thể của mỗi lây nhiễm có thể được thay đổi để phù hợp với từng mục tiêu, vì các email lừa đảo đưa mã độc vào máy tính cũng nhắm đến mục tiêu cụ thể.
Khi tải lên, mã độc sẽ kiểm tra sự tồn tại của phần mềm có thể phát hiện ra nó, như một số loại phần mềm chống mã độc và trình giám sát hoạt động như Wireshark. Các dữ liệu thu thập được mã hóa trước khi được gửi đến Dropbox.
Nir Giller, đồng sáng lập và Giám đốc công nghệ của CyberX cho biết Operation BugDrop chiết xuất 2,5-3 gigabyte từ mỗi máy tính bị lây nhiễm mỗi ngày. Theo ông, hiện tại có vẻ như các tin tặc Nga đang tấn công Ukraine theo chỉ đạo cụ thể, nhưng ông không rõ ai đứng sau vụ tấn công. Tuy nhiên, Giller lưu ý tất cả các dấu hiện đều chỉ ra rằng mã độc được tạo ra ở Nga và nhắm vào các hạ tầng quan trọng và các phương tiện truyền thông.
Trong khi mục tiêu chính của Operation BugDrop là Ukraine, cũng có một số hoạt động tại Ả Rập Saudi và nhiều nơi khác.
Theo ông, cách tốt nhất để xác định một mạng đã bị xâm nhập hay chưa là giám sát lưu lượng đầu ra tìm kiếm các dấu hiệu exfiltration (chiết xuất dữ liệu). Trong trường hợp này, rất nhiều gigabyte dữ liệu chuyển đến Dropbox hàng ngày.
Trong khi mục tiêu exfiltration có thể chuyển sang một số dịch vụ đám mây công cộng khác, việc này vẫn phải diễn ra để mã độc thực hiện công việc của mình. Ông nhấn mạnh rằng giám sát mạng lưới rất quan trọng cho việc tìm kiếm mã độc. Khi phát hiện, theo Giller, có nhiều biện pháp mà một tổ chức có thể thực hiện để thoát khỏi nó, bao gồm cả việc định vị khóa registry và chạy một gói chống mã độc để tìm kiếm BugDrop.
Các cuộc tấn công hiện đang diễn ra ở Ukraine không có nghĩa là nó không thể diễn ra ở bất kỳ nơi khác. Ngay khi kẻ đứng sau các cuộc tấn công bắt đầu cuộc tấn công khác, nó có thể dễ dàng xảy ra ở bất kỳ đâu.
Mỗi ngày mã độc BugDrop sẽ gửi các tập tin âm thanh vào một tập tin Dropbox, vốn sẽ được tải lên cho tin tặc phân tích thêm. Một khi mã độc BugDrop lây nhiễm một tổ chức, nó sẽ biến mọi máy tính thành một lỗ hổng. Mọi nỗ lực quét văn phòng tìm kiếm lỗi đều sẽ thất bại vì lỗi chính là các máy tính, không ẩn nấp ở bất cứ đâu trong văn phòng.
Mã độc này cũng có các biện pháp khác để tránh bị phát hiện. Vì chỉ lấy dữ liệu âm thanh, mã độc tránh bị phát hiện vì trông giống như lưu lượng hợp pháp. Mã độc mã hóa các file DLL mà nó cài đặt như là một cách để tránh bị phát hiện bởi các phần mềm diệt virus.
Mã độc được cài đặt bằng cách sử dụng một cuộc tấn công lừa đảo, tiếp theo đó là giả mạo những thông báo Microsoft Office hợp pháp để đảm bảo rằng người sử dụng máy tính kích hoạt macro nhằm tạo điều kiện cài đặt mã độc.
Tiếp theo mã độc sẽ cài đặt một downloader chính để tránh bị phát hiện bởi các phần mềm AV. Sau đó, nó sẽ cài đặt một khóa vào registry của máy tính. Khóa registry đảm bảo rằng phần mềm sẽ chạy khi máy tính được khởi động lại. Mã độc tự cài đặt sử dụng lây nhiễm DLL, một kỹ thuật tải mã độc là một phần của quá trình tải phần mềm hợp pháp, mà lại giấu mã độc khỏi các phần mềm chống mã độc.
BugDrop cũng tránh bị phát hiện bằng cách sử dụng dịch vụ đám mây công cộng Dropbox để nhận dữ liệu giám sát. Điều này hoạt động vì nhiều tổ chức coi lưu lượng Dropbox là hoạt động bình thường và không chặn lưu lượng đó.
Trong khi mã độc BugDrop chủ yếu thu thập các cuộc hội thoại audio, nó cũng có thể tìm kiếm và đánh cắp một loạt các loại tài liệu cũng như lấy cắp mật khẩu và các thông tin khác từ các trình duyệt. Các hoạt động cụ thể của mỗi lây nhiễm có thể được thay đổi để phù hợp với từng mục tiêu, vì các email lừa đảo đưa mã độc vào máy tính cũng nhắm đến mục tiêu cụ thể.
Khi tải lên, mã độc sẽ kiểm tra sự tồn tại của phần mềm có thể phát hiện ra nó, như một số loại phần mềm chống mã độc và trình giám sát hoạt động như Wireshark. Các dữ liệu thu thập được mã hóa trước khi được gửi đến Dropbox.
Nir Giller, đồng sáng lập và Giám đốc công nghệ của CyberX cho biết Operation BugDrop chiết xuất 2,5-3 gigabyte từ mỗi máy tính bị lây nhiễm mỗi ngày. Theo ông, hiện tại có vẻ như các tin tặc Nga đang tấn công Ukraine theo chỉ đạo cụ thể, nhưng ông không rõ ai đứng sau vụ tấn công. Tuy nhiên, Giller lưu ý tất cả các dấu hiện đều chỉ ra rằng mã độc được tạo ra ở Nga và nhắm vào các hạ tầng quan trọng và các phương tiện truyền thông.
Trong khi mục tiêu chính của Operation BugDrop là Ukraine, cũng có một số hoạt động tại Ả Rập Saudi và nhiều nơi khác.
Theo ông, cách tốt nhất để xác định một mạng đã bị xâm nhập hay chưa là giám sát lưu lượng đầu ra tìm kiếm các dấu hiệu exfiltration (chiết xuất dữ liệu). Trong trường hợp này, rất nhiều gigabyte dữ liệu chuyển đến Dropbox hàng ngày.
Trong khi mục tiêu exfiltration có thể chuyển sang một số dịch vụ đám mây công cộng khác, việc này vẫn phải diễn ra để mã độc thực hiện công việc của mình. Ông nhấn mạnh rằng giám sát mạng lưới rất quan trọng cho việc tìm kiếm mã độc. Khi phát hiện, theo Giller, có nhiều biện pháp mà một tổ chức có thể thực hiện để thoát khỏi nó, bao gồm cả việc định vị khóa registry và chạy một gói chống mã độc để tìm kiếm BugDrop.
Các cuộc tấn công hiện đang diễn ra ở Ukraine không có nghĩa là nó không thể diễn ra ở bất kỳ nơi khác. Ngay khi kẻ đứng sau các cuộc tấn công bắt đầu cuộc tấn công khác, nó có thể dễ dàng xảy ra ở bất kỳ đâu.
Theo eWeek
Chỉnh sửa lần cuối bởi người điều hành:
